ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris の管理: IP サービス Oracle Solaris 11 Information Library (日本語) |
13. DHCP コマンドと DHCP ファイル (リファレンス)
16. IP セキュリティーアーキテクチャー (リファレンス)
フェーズ 1 IKE 交換に使用できるグループおよびアルゴリズムの表示方法
Sun Crypto Accelerator 6000 ボードを検出するように IKE を構成する方法
20. Oracle Solaris の IP フィルタ (概要)
事前共有鍵は、IKE 用の最も簡単な認証方法です。IKE を使用するようにピアシステムを構成し、さらに、ユーザーが両方のシステムの管理者である場合、事前共有鍵を使用することをお勧めします。ただし、公開鍵認証とは異なり、事前共有鍵は IP アドレスに関連付けられます。事前共有鍵を特定の IP アドレスまたは IP アドレス範囲に関連付けることができます。事前共有鍵は、移動体システムや、番号が変更されることがあるシステムでは使用できませんが、番号の変更が、指定された IP アドレスの範囲内である場合を除きます。
IKE 実装では、鍵の長さが異なるさまざまなアルゴリズムが提供されます。鍵の長さは、サイトのセキュリティーに応じて選択します。一般的に、鍵の長さが長いほど、セキュリティーが高くなります。
この手順では、ASCII 形式の鍵を生成します。
これらの手順には、システム名 enigma および partym を使用します。enigma と partym を各自使用しているシステムの名前に置き換えてください。
注 - Trusted Extensions システムのラベルと一緒に IPsec を使用するには、『Trusted Extensions 構成と管理』の「マルチレベル Trusted Extensions ネットワークで IPsec 保護を適用する」にあるこの手順の拡張を参照してください。
詳細は、『Oracle Solaris の管理: セキュリティーサービス』の「管理権限を取得する方法」を参照してください。リモートからログインする場合、セキュリティー保護されたリモートログイン用の ssh コマンドを使用してください。例については、例 15-1 を参照してください。
/etc/inet/ike/config.sample をテンプレートとして使用できます。
これらの規則やグローバルパラメータは、システムの ipsecinit.conf ファイルに設定されている IPsec ポリシーが正しく動作するものでなければなりません。次の IKE 構成例は、「IPsec で 2 つのシステム間のトラフィックを保護するには」の ipsecinit.conf の例で機能します。
### ike/config file on enigma, 192.168.116.16 ## Global parameters # ## Defaults that individual rules can override. p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 # ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } p2_pfs 5 }
### ike/config file on partym, 192.168.13.213 ## Global Parameters # p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des } p2_pfs 2 ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } p2_pfs 5 }
# /usr/lib/inet/in.iked -c -f /etc/inet/ike/config
各ファイルに事前共有鍵を書き込みます。
# ike.preshared on enigma, 192.168.116.16 #… { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.13.213 # The preshared key can also be represented in hex # as in 0xf47cb0f432e14480951095f82b # key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques" }
# ike.preshared on partym, 192.168.13.213 #… { localidtype IP localid 192.168.13.213 remoteidtype IP remoteid 192.168.116.16 # The preshared key can also be represented in hex # as in 0xf47cb0f432e14480951095f82b key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques" }
# svcadm enable ipsec/ike
例 18-1 IKE 事前共有鍵を更新する
IKE 管理者が事前共有鍵を更新するときは、ピアシステム上のファイルを編集し、in.iked デーモンを再起動します。
最初に、管理者は 192.168.13.0/24 サブネット上のすべてのホストについて有効な、事前共有鍵エントリを追加します。
#… { localidtype IP localid 192.168.116.0/24 remoteidtype IP remoteid 192.168.13.0/24 # enigma and partym's shared passphrase for keying material key "LOooong key Th@t m^st Be Ch*angEd \"reguLarLy)" }
次に、管理者は各システムの IKE サービスを再起動します。
# svcadm enable ipsec/ike
次の手順
IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするか更新してください。
同じピア間で動作中の構成に対して IPsec ポリシーエントリを追加した場合、IPsec ポリシーサービスを更新する必要があります。IKE の再構成または再起動は不要です。
IPsec ポリシーに新しいピアを追加した場合、IPsec の変更に加えて IKE 構成を変更する必要があります。
始める前に
ipsecinit.conf ファイルを更新し、ピアシステムの IPsec ポリシーを更新しました。
詳細は、『Oracle Solaris の管理: セキュリティーサービス』の「管理権限を取得する方法」を参照してください。リモートからログインする場合、セキュリティー保護されたリモートログイン用の ssh コマンドを使用してください。例については、例 15-1 を参照してください。
### ike/config file on enigma, 192.168.116.16 ## The rule to communicate with ada {label "enigma-to-ada" local_addr 192.168.116.16 remote_addr 192.168.15.7 p1_xform {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes} p2_pfs 5 }
### ike/config file on ada, 192.168.15.7 ## The rule to communicate with enigma {label "ada-to-enigma" local_addr 192.168.15.7 remote_addr 192.168.116.16 p1_xform {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes} p2_pfs 5 }
# ike.preshared on enigma for the ada interface # { localidtype IP localid 192.168.116.16 remoteidtype IP remoteid 192.168.15.7 # enigma and ada's shared key key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr" }
# ike.preshared on ada for the enigma interface # { localidtype IP localid 192.168.15.7 remoteidtype IP remoteid 192.168.116.16 # ada and enigma's shared key key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr" }
# svcadm refresh ike
次の手順
IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするか更新してください。